安全研究人员发现了一种新的安卓恶意软件,能让攻击者追踪智能手机上的几乎每一个操作。具体而言,这包括PIN码输入、登录凭证,以及通讯和银行应用内的内容。
尤为阴险的是,该恶意软件利用的是声誉良好的开发者平台——Hugging Face——来进行隐蔽传播。
这种恶意软件活动由安全公司Bitdefender的研究人员发现。该活动的核心是一个名为“TrustBastion”的安卓应用,它伪装成安全解决方案。
攻击的受害者会看到声称其智能手机已感染的广告和/或弹窗。为了清除所谓的威胁——包括网络钓鱼企图、诈骗短信和其他恶意软件——他们被引导安装该应用。
该应用初看起来无害。但实际上,它是一种所谓的“投放器”,这意味着该应用本身最初并不包含任何恶意功能,但会在后续下载这些功能。
安装后,TrustBastion会立即显示一个据称必要的更新。该窗口在视觉上与官方的安卓或Google Play对话框相似,任何同意更新的人最终都会在后台下载一个被篡改的APK文件。
APK的下载并非通过地下服务器进行,而是通过Hugging Face。该平台在开发者和人工智能社区中被广泛使用且声誉良好,这正是攻击者所利用的:许多安全解决方案不会将连接到Hugging Face归类为可疑行为。
安装后,真正的恶意软件会请求广泛的权限。它伪装成一个名为“Phone Security”的系统组件,并提示用户激活安卓的辅助功能权限。
这些访问权限尤为关键。它们允许一个应用读取屏幕内容、记录输入信息,并在其他应用上叠加显示。这意味着该恶意软件可以开始捕获每一个PIN码输入和/或解锁图案,并在正版应用之上叠加显示虚假的登录界面。
这种访问权限使得支付服务、通讯软件和其他敏感应用的数据可能被截获。捕获的信息随后会被传输到攻击者所属的一个中央控制服务器。从那里,还可以向受感染的设备发送新的命令或更新。
据Bitdefender称,攻击者依靠所谓的服务器端多态性来逃避检测——简而言之,大约每15分钟就会生成新版本的恶意软件。每个经过轻微修改的APK文件都具有相同的功能,只有微不足道的调整。
在一个月内,研究人员统计了超过6000个不同的变种。其目的是规避传统的基于特征码的病毒扫描器。在个别软件包被移除后,该活动还多次更改了名称和图标。
安卓用户应仅从Google Play商店安装应用,不要允许来自外部来源的应用。对于那些声称是安全或保护软件,同时又要求广泛系统权限的应用,应特别保持警惕。请务必激活Google Play Protect以获得最大的安全防护。
在从知名平台下载应用和文件时也应保持警惕。良好的基础设施并不能保证提供的文件是安全或干净的。只有在明确理解应用请求目的的情况下,才激活辅助功能。
如果安装了可疑应用,应立即将其移除并对设备进行恶意软件扫描。如有疑问,也可以考虑将设备恢复出厂设置。
